TLS-Funktionen und die zugehörige Terminologie in Exchange 2007
Gilt für: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007
Letztes Änderungsdatum des Themas: 2007-04-18
Im Vergleich zu früheren Versionen von Microsoft Exchange Server stellt Exchange Server 2007 zusätzliche Verwaltungsfunktionen und andere Verbesserungen zur Verfügung, die die Gesamtverwaltung von TLS (Transport Layer Security) optimieren. Für die Arbeit mit diesen neuen Funktionen ist das Verständnis einiger neuer Features und Funktionen hilfreich, die sich auf TLS beziehen. Einige Begriffe und Konzepte beziehen sich auf mehrere TLS-spezifische Features. In diesem Thema finden Sie eine kurze Erläuterung der einzelnen Features, die Sie dabei unterstützen soll, einige Unterschiede sowie die allgemeine Terminologie zu verstehen, die sich auf TLS und die Featuresammlung "Domänensicherheit" bezieht.
Transport Layer Security TLS ist ein Standardprotokoll, das zum Bereitstellen sicherer Webkommunikationsverbindungen im Internet oder in Intranets verwendet wird. Es ermöglicht Clients das Authentifizieren von Servern oder, optional, Servern das Authentifizieren von Clients. Es stellt ferner durch Verschlüsseln der Kommunikation einen sicheren Kanal bereit. TLS ist die aktuellste Version des SSL-Protokolls (Secure Sockets Layer).
MTLS TLS mit gegenseitiger Authentifizierung unterscheidet sich von der üblichen TLS-Bereitstellung. Wenn TLS bereitgestellt wird, wird dieses Protokoll normalerweise nur zum Bereitstellen von Vertraulichkeit in der Form von Verschlüsselung verwendet. Zwischen dem Absender und dem Empfänger findet keine Authentifizierung statt. Neben dieser Art von Bereitstellung findet bei der Implementierung von TLS manchmal nur eine Authentifizierung des empfangenden Servers statt. Diese Bereitstellung von TLS ist für die HTTP-Implementierung von TLS typisch. Diese Implementierung, bei der nur der empfangende Server authentifiziert wird, ist SSL.
Bei der gegenseitigen TLS-Authentifizierung prüft jeder Server die Identität des jeweils anderen Servers, indem er dessen Zertifikat überprüft. In diesem Szenario, in dem Nachrichten von externen Domänen über überprüfte Verbindungen in einer Exchange 2007-Umgebung eingehen, zeigt Microsoft Office Outlook 2007 das Symbol für eine gesicherte Domäne an.
Domänensicherheit Domänensicherheit ist eine Featuresammlung, die z. B. aus Zertifikatverwaltung, Connectorfunktionen und Outlook-Clientverhalten besteht. Sie ermöglicht MTLS als verwaltbare und sinnvolle Technologie.
Opportunistisches TLS In früheren Versionen von Exchange Server mussten Sie TLS manuell konfigurieren. Außerdem mussten Sie ein gültiges Zertifikat auf dem Servercomputer mit Exchange Server installieren, das für die TLS-Verwendung geeignet war. In Exchange 2007 erstellt das Setup ein selbstsigniertes Zertifikat. TLS ist standardmäßig aktiviert. Dadurch kann jedes sendende System die bei Microsoft Exchange eingehende SMTP-Sitzung (Simple Mail Transfer Protocol) verschlüsseln. Standardmäßig versucht Exchange 2007, TLS auch für alle Remoteverbindungen zu verwenden.
Direkte Vertrauensstellung Der gesamte Verkehr zwischen Edge-Transport-Servern und Hub-Transport-Servern wird standardmäßig authentifiziert und verschlüsselt. Der zugrundeliegende Mechanismus für Authentifizierung und Verschlüsselung ist auch hier MTLS. Statt die X.509-Gültigkeitsprüfung zu verwenden, verwenden Exchange 2007-Benutzer direkte Vertrauensstellungen zum Authentifizieren der Zertifikate. "Direkte Vertrauensstellung" bedeutet, dass das Vorhandensein des Zertifikats im Active Directory-Verzeichnisdienst oder dem ADAM-Verzeichnisdienst (Active Directory Application Mode) die Gültigkeit des Zertifikats bezeugt. Active Directory wird als vertrauenswürdiger Speicherungsmechanismus angesehen. Wenn die direkte Vertrauensstellung verwendet wird, ist es nicht von Bedeutung, ob das Zertifikat selbstsigniert oder von einer Zertifizierungsstelle signiert ist. Wenn Sie einen Edge-Transport-Server für eine Exchange-Organisation abonnieren, veröffentlicht das Edge-Abonnement das Edge-Transport-Serverzertifikat für die Überprüfung durch die Hub-Transport-Server in Active Directory. Der Microsoft Exchange-EdgeSync-Dienst aktualisiert ADAM mit dem Satz von Hub-Transport-Serverzertifikaten, damit diese vom Edge-Transport-Server überprüft werden können.
Weitere Informationen
Weitere Informationen hierzu finden Sie unter den folgenden Themen: